SQLServer安全管理.ppt

第8章 SQL Server安全管理 v8.1 SQL Server 2000的安全. v8.2 管理服务器的安全性 v8.3 管理数据库用户 v8.4 管理角色 v8.5 管理权限 v8.6 本章总结 v学习目标： v通过本章学习，你可以学会： vSQL Server的安全性机制 v管理和设计SQL Server登录信息，实现服务 器级的安全控制 v设计和实现数据库级的安全保护机制 v设计和实现数据库对象级安全保护机制 8.1 SQL Server 2000的安全机制 合理有效的数据库技术安全机制可以既保证被授权 用户能够方便地访问数据库中的数据又能够防止 非法用户的入侵。SQL Server 2000提供了一套设 计完善、操作简单的安全管理机制。SQL Server 2000安全机制可以划分为4个等级。 v客户机操作系统登录的安全性 vSQL Server登录的安全性 v数据库访问的安全性 v数据库对象使用的安全性 v每个安全等级就好像一道门，如果门没有上 锁，或者用户拥有开门的钥匙，则用户可以 通过这道门达到下一个安全等级，如果通过 了所有的门，则用户就可以实现对数据库的 访问了。这种关系可以用图8.1来表示。 客户端操作系统的登录权限 SQL Server服务器的登录权限 数据库的访问权限 数据库对象的使用权限 SQL Server数据库对象（表、视图、存储过 程等） 8.2管理服务器的安全性 v对于一个合法的数据库用户，首先必须在SQL Server 2000中为其设置相应的登录账户，否则他不 能登录数据库服务器。有两类登录账户，一是SQL Server身份验证的登录账户(以下简称SQL账户)， 二是Windows身份验证的登录账户(以下简称 Windows账户)。SQL账户的登录名称与登录密码由 SQL Server 2000系统负责验证，Windows账户的 登录名称与登录密码则由Windows 操作系统负责验 证。 8.2.1 使用企业管理器管理登录账户 v实例8.1利用企业管理器创建一个SQL账户 名为test，密码为xxxbjwk,默认数据库为学生 库的账户。 v步骤： 图8.2 创建登录账户 图8.3 创建登录账户 图8.4 分配数据库访问权限 v这样使用企业管理器就可以创建一个登录账户 。在建立SQL账户实现服务器连接时，用户必 须拥有合法的账号和正确的密码。在SQL Server系统中，登录密码并不是必须的。但是 用户最好设置密码，没有密码的保护，SQL Server的服务器级安全保护就像没有上锁的大 门，知道门的位置（账号）的用户都可以畅通 无阻。 v上面采用的是SQL账户的创建，如若采用 Windows账户登录，则不同之处就是在图8.2中 选择Windows身份验证，这时登录名称不能随 便键入，它必须是Windows的用户。可以在“域 ”组合框的下拉菜单中选择域名，然后点击按钮 ，在弹出的对话框中（如图8.5所示）中选择 Windows用户或组，单击“添加”按钮后再单击“ 确定”按钮，系统自动将该Windows用户或组添 加到图8.2的“名称”文本框中如图8.6所示。其他 操作与建立SQL账户相同。 图8.5 选择Windows登录账户名称 图8.6 建立Windows登录账户 v实例8.2对上例创建的test账户进行属性修改。 8.2.2 使用T-SQL语句管理登录账户 管理登录账户也可以使用T-SQL语句，主要是通 过存储过程来加以管理，需要注意的是管理 Windows账户与SQL账户所使用的系统存储过程 不同。 1、管理SQL身份验证的登录账户 v使用系统存储过程管理SQL身份验证的登录账户 包括使用系统存储过程创建SQL账户，修改SQL 账户的密码，修改SQL账户的默认数据库，修改 SQL账户的默认语言，以及删除SQL账户。下面 将分别给以介绍。 v实例8.3创建一个SQL账户yn_sql，密码为 123，默认数据库为学生库。 v输入如下SQL语句： v SP_ADDLOGIN yn_sql,123,学生库 v执行得到如下结果： v通过上例，我们可归纳出使用系统存储过程创建SQL 账户的命令格式： v sp_addlogin loginame= 新建登录账户的名称 v ，passwd=密码 v ，defdb=默认数据库 v ，defianguage= 默认语言 v命令说明： v密码可以默认设置为NULL。 v全部按上述次序取值时，局部变量名称loginame、 passwd、defdb、deflanguage可以省略。 v实例8.4 将SQL账户yn_sql 中的密码由123更 改为123456。 v输入如下SQL语句： v SP_PASSWORD 123,123456 ,yn_sql v 通过上例，我们可归纳出使用系统存储过程修改 SQL账户密码的命令格式： v sp_password old= 旧的登录密码， v new= 新的登录密码 v ，loginame=需要更改密码的登录名 v 命令说明： v旧的登录密码，其默认值为NULL； v新的登录密码，无默认值;：需要更改密码的登录名 必须已经存在。 v实例8.5 将SQL账户yn_sql 中的默认语言更 改为英语，默认的数据库更改为master。 v输入如下SQL语句： v v通过上例，我们可归纳出使用系统存储过程修改SQL账户默 认语言和默认数据库的命令格式： v(1)使用系统存储过程修改SQL账户的默认语言 v 命令格式： v sp_defaultlanguageloginnme= 登录名 v ,deflanguage=language v 命令说明：language是新的数据库默认语言。 v (2)使用系统存储过程修改SQL账户的默认数据库 v 命令格式： v sp_defaultdb loginnme= 登录名 v ，defdb=database v 命令说明：database是新的默认数据库的名称。 v另外还可以使用系统存储过程删除SQL账户 v 命令格式：sp_droplogin loginnme= 登录名 v如删除SQL账户yn_sql。可使用如下语句： v sp_droplogin yn_sql 2、管理Windows身份验证的登录账户 实例8.6为Windows XP系统 06CC3021493C418域中的账户myuser授权 登录数据库实例的权利。 输入如下SQL语句： sp_grantlogin 06CC3021493C418myuser v 这个例子的实质就是使Windows XP上的 06CC3021493C418域中的用户myuser成为 SQL Server的登录账户，从而能够访问SQL Server数据库。注意，这里的用户名必须是已 经存在的，在给出用户名时，必须指定用户或 工作组所在的域，并使用定界符将域和用户名 括起来。当然，也可以拒绝Windows用户登录 ，或删除Windows用户。下面给出具体的语法 。 v(1) 向Windows账户授权的语法如下。 v 命令格式： v sp_grantlogin loginame= 用户或用户组名 v(2)拒绝一个Windows账户登录的语法如下。 v 命令格式： v sp_denylogin loginame： 用户或用户组名， v 例如：拒绝06CC3021493C418域中的用户myuser登录数据 库实例，可使用如下语句实现：sp_denylogin 06CC3021493C418myuser v(3)删除一个Windows账户的语法如下。 v 命令格式： v sp_revokelogin loginame： 用户或用户组名 v 例如：删除06CC3021493C418域中的用户myuser登录数据库 实例的权限。可使用如下语句实现：sp_revokelogin 06CC3021493C418myuser 8.2.3 特殊的登录账户sa vSQL Server 2000在安装后自动建立了一个特 殊的SQL账户sa，即System Administrator。 该账户默认为是所有数据库的dbo用户(数据库 所有者)，也就是说是任何用户数据库的主任， 所以，sa具有最高权限，可以执行服务器范围 内的任何操作，且不能被删除。刚安装完毕时 ，sa没有密码，为了安全起见，一定要为其加 入密码。 8.3 管理数据库用户 v在实现数据库的安全登录以后，检验用户权 限的下一个安全等级就是数据库的访问权， 数据库的访问权是通过数据库的用户和登录 账户之间的关系来实现。数据库的用户是数 据库级的安全实体，就像登录账户是服务器 级的安全实体一样。无论是Windows账户还 是SQL账户，登录数据库服务器后的其他操 作都是相同的。但首先必须获得对数据库的 访问权。SQL Server 2000通过为登录账户 指派数据库用户来使其获得对数据库的访问 权限。 v在一个数据库服务器上可能有多个用户 创建的不同数据库，除系统管理员外任 何普通登录者不可能有权访问所有的数 据库，因此SQLServer2000使每个数据 库都具有自行创建数据库用户的功能， 以达到仅使指定登录账户能够访问本数 据库之目的。大家可以观察到在企业管 理器的树型结构中，对于用户的管理是 归类到每个数据库中的。 8.3.1 使用企业管理器管理数据库用户 v对某一个特定数据库的用户管理工作是在该 数据库中进行的。只有具有特殊权限的用户 (例如数据库所有者)进入到该数据库中才能进 行数据库的用户管理。对用户的管理可以是 创建，也可以删除。接下来通过实例进行讲 解 v实例8.7利用企业管理器在学生库中为 yn_sql的登录账户创建一用户，名为 yn_sql_user。 v请大家注意，登录名必须在下拉列表中选择 已经建立的账户，或者通过下拉列表中的新 建命令创建一个登录账户，因为对某一个特 定数据库的用户管理工作是在该数据库中进 行的，而该数据库只能是具有登录账号的账 户才能使用。 8.3.2 使用T-SQL语句管理数据库用户 v实例8.7 假设在数据库服务器中已经建立了两个登 录账户06CC3021493C418myuser与sqluser。本 例在学生库中为Windows账户myuser建立一个数据 库用户myuser_01，为SQL账户sqluser建立一个数 据库用户sqluser_02。 v创建数据库用户的命令格式： vsp_grantdbaccess loginnme= 登录名 ,name_in_db = 数据库用户名 v命令说明： v当登录名为Windows账户时，须采用“域名登录名” 格式；当其为SQL账户名时，采用“登录名”格式。 v如若省略数据库用户名参数，则默认登录名与用户 名相同。 v 实例8.8 在学生库中删除用户myuser_01和 sqluser_02。 删除数据库用户命令格式： sp_revokedbaccess 删除的用户名 8.3.3 特殊的数据库用户dbo和guest SQLServer2000数据库中有2个特殊用户： dbo和guest。 1.dbo v 在创建一个数据库时，SQLServer2000自动将创 建该数据库的登录账户设置为该数据库的一个用户 ，并起名为dbo。dbo是数据库的拥有者，不能从数 据库中删除，dbo对本数据库拥有所有操作权限， 并可以将这些权限全部或部分授予其他数据库用户 。另外，属于固定服务器角色sysadmin的成员也映 射为所有数据库的dbo。 v2.guest v当一个登录者登录数据库服务器时，如果该 服务器上的所有数据库都没有为其建立用户 账户，则该登录者只能访问那些具有guest用 户的数据库。系统数据库Master与tempdb中 的guest用户不能被删除，而其他数据库中的 guest用户可以被添加或删除。 8.4 管理角色 vSQL Server在服务器级提供了固定服务器角 色，在数据库级提供了数据库级角色。用户 可以修改固定数据库级角色的权限，也可以 自己创建新的数据库角色，再分配权限给新 建的角色。 8.4.1 固定服务器角色 vSQL Server 2000的服务器角色是在SQL Server安装时就创建好的，用于分配服务器 级管理权限的实体。对数据库服务器操作的 权限不能直接赋给其他登录账户，只能使某 些登录账户成为固定服务器角色的成员，才 能使他们具有这些权限。 SQLServer2000具有如下固定服务器角色： v (1)sysadmin，有权在SQLServer中进行任何活动。 v (2)serveradmin，有权设置服务器一级的配置选项，关闭服 务器。 v (3)setupadmin，有权管理链接服务器和启动过程。 v (4)securityadmin，有权管理登录和CREATEDATABASE 权限，还可以读取错误日志和更改密码。 v (5)processadmin，有权管理在SQLServer中运行的进程。 v (6)dbcreator，有权创建、更改和除去数据库。 v (7)diskadmin，有权管理磁盘文件。 v (8)bulkadmin，有权执行BULKINSERT语句。 1、使用企业管理器管理服务器角色 实例8.9将sqluser账户赋予sysadmin服务器角 色，使其能够有权在SQL Server中进行任 何活动。 v 在SQL Server的固定服务器中sysadmin拥 有最高的权限，在给sqluser账户赋予了 sysadmin服务器角色后，该账户就可以执行 服务器范围内的一切操作。 2、使用T-SQL语句管理服务器角色 实例8.10使用系统存储过程将固定服务器角色 serveradmin分配给Windows账户myuser。 v 执行上述操作后，06CC3021493C418myuser就 拥有了角色serveradmin所拥有的所有权限。对账户 进行固定服务器角色分配的命令格式： v sp_addsrvrolemember 账户名，固定服务器名 v 命令说明：如对Windows账户进行分配，须把域名 加上。 v 如若收回分配给某登录账户的指定固定服务器角色 ，可用如下语句： v Sp_dropsrvrolemember 06CC3021493C418myuser, serveradmin v 这样就回收了分配给登录账户 06CC3021493C418myuser的固定服务器角色 serveradmin。 SQL Server在数据库级设置了固定数据库角色 来提供最基本的数据库权限的综合管理。 SQLServer2000中的数据库角色用于对单个 数据库的操作。每个数据库都有一系列固定 数据库角色，尽管在不同的数据库内他们是 同名的，但各自的作用范围都仅限于本数据 库。 8.4.2 固定的数据库角色 vSQLServer2000具有如下固定数据库角色： v(1)db_owner，在数据库中具有全部权限。 v (2)db_accessadmin，有权添加或删除数据库用户。 v (3)db_securityadmin，有权管理全部权限、对象所有权、角 色和角色成员资格 v (4)db_ddladmin，有权发出ALLDDL，但不能发出GRANT、 REVOKE或DENY语句。 v (5)db_backupoperator，有权发出DBCC、CHECKPOINT和 BACKUP语句。 v (6)db_datareader，有权查询数据库内任何用户表中的所有数 据。 v (7)db_datawriter，有权更改数据库内任何用户表中的所有数 据。 v(8)db_denydatareader，不能查询数据库内任何用户表中的 任何数据。 v(9)db_denydatawriter，不能更改数据库内任何用户表中的任 何数据。 1、使用企业管理器管理数据库角色 v实例8.11将myuser_01用户赋予db_owner 数据库角色，使其具有数据库的全部权限。 v实例8.12使用系统存储过程将固定数据库角 色db_owner分配给sqluser_02用户。 v执行上述操作后，sqluser_02用户就拥有了角色 db_owner所拥有的所有权限。对用户进行固定数 据库角色分配的命令格式： v sp_addrolemember 固定数据库角色名，用 户名 v 如若收回分配给该用户的指定固定数据库角色 ，可用如下语句： v sp_droprolemember db_owner, sqluser_02 v 这样就回收了分配给用户sqluser_02的固定数 据库角色db_owner。 v sp_addrolemember和sp_droprolemember系 统存储过程只能对本数据库的用户进行控制。所以 上述两个例子执行成功的前提是已经在该数据库中 建立了sqluser_02用户。 8.4.3特殊的数据库角色PUBLIC v除了前面提到的数据库角色外，在SQL Server 2000的每个数据库中(包括master、msdb、 tempdb、model和所有用户数据库)都有一个特殊 的数据库角色pubic，所有的数据库用户都属于 public角色。public角色的特点是： 它能够捕获数据库中用户的所有默认权限。 不能将public角色分配给任何用户、工作组，因为所有 的用户都默认为属于该角色。 public角色存在于每一个数据库中，包括系统数据库和 用户建立的数据库。 public无法删除，每个数据库用户都自动属于该角色的 成员。 8.4.4用户定义的数据库角色 vSQL Server允许创建新的数据库角色，创建 新的数据库角色有两种方法，一是使用企业 管理器，二是使用T-SQL语句。 1、使用企业管理器创建或删除的数据库角色。 实例8.13利用企业管理器创建新的数据库角色 名为newrole，同时将sqluser_02用户添加到 该角色中。 v数据库角色类型有两种，一种是标准角色， 就是将数据库用户(或其他数据库角色)添加为 数据库角色成员，当将用户自己建立的数据 库角色添加到列表框时，新建的数据库角色 就继承了原有的数据库角色的所有权限；另 一种是应用程序角色，默认情况下，应用程 序角色是非活动的，需要用密码激活，只有 在应用程序中激活并连入数据库，应用程序 角色才能生效，连接一旦断开，应用程序角 色立即失去作用。 v实例8.14为数据库学生库建立一个属于dbo的 角色teacher_math v创建用户定义的数据库角色需要调用系统存储 过程sp_addrole，语法如下。 v 命令格式： v sp_addrole 创建的角色名称 v默认值为数据库的所有者dbo v如若删除指定的数据库角色，可利用系统存储 过程sp_droprole即可，命令格式如下： vsp_droprole 创建的角色名称 v例如，将上例创建的newrole角色删除： vUSE 学生库 vGO vsp_droprole techer_math vGO v注意只能在数据库级建立角色，不能在服务 器级建立角色。当完成角色的建立操作后， 该角色不拥有任何权限，如果要对权限进行 修改可以使用下节介绍的权限。 8.5 管理权限 v 在数据库内部，SQL Server提供的权限作为 访问权设置的最后一道关卡。一个登录者若 要对某个数据库进行修改或访问，必须具有 相应的权限，这种权限涉及服务器级与数据 库级的操作。权限既可以直接获得，也可以 通过成为角色成员而继承角色的权限。管理 权限包括授予、拒绝和废除权限。 8.5.1 权限的种类 v权限分为三种： v 对象权限 v 语句权限 v 隐含权限 v1.对象权限 v 对象权限指对已存在的数据库对象的操作权限，包 括对数据库对象的SELECT、INSERT、UPDATE、 DELETE和 EXECUTE权限。 v 其中： v SELECT、INSERT、UPDATE、DELETE可以用 于对表、视图的操作。 v SELECT、UPDATE可用于对表或视图中的列进行 操作。 v INSERT和DELETE用于对表或视图的行进行操作 。 v EXECUTE用于执行存储过程和函数。 v SELECT用于对用户定义的函数进行操作。 v2.语句权限 v 语句权限用于创建数据库或数据库对象所涉及的活 动。例如，当向用户授予CREATE TABLE语句的权 限后，用户将能够在数据库中创建表。语句权限有： v BACKUP DATABASE 用于备份数据库。 v BACKUP LOG 用于备份数据库日志。 v CREATE DATABASE 用于创建数据库。 v CREATE DEFAULT 用于创建默认对象。 v CREATE FUNCTION 用于创建函数。 v CREATE PROCEDURE 用于创建存储过程。 v CREATE RULE 用于创建规则。 v CREATE TABLE 用于创建表。 v CREATE VIEW 用于创建视图。 v3.隐含权限 隐含权限控制那些只能由固定角色的成员或 数据库对象所有者执行的活动。例如， sysadmin固定服务器角色成员自动继承在 SQLServer中进行安装、操作和查看的全部 权限。数据库对象所有者具有的隐含权限系 指它可以对所拥有的对象执行一切操作。例 如，拥有表的用户可以修改、添加或删除数 据，更改表定义，或控制其他用户操作表的 权限。 8.5.3 使用企业管理器管理权限 v在企业管理器中管理语句权限与对象权限的方法不 同，语句权限是在数据库一级进行，对象权限是在 数据库对象一级进行。 v权限管理指对于用户或角色的某些操作赋予允许权 限、拒绝权限、以及废除权限。 v (1)允许权限(GRANT)，表示用户或角色能够执 行某项操作。 v (2)拒绝权限(DENY)，表示用户或角色不能执行 某项操作，也称禁止权限。 v (3)废除权限(REVOKE)，表示废除以前用户或角 色所具有的允许权限或拒绝权限。 1、使用企业管理器管理对象权限 实例8.15 在学生库中，对表学生成绩的访问 权限进行设置，将该数据库对象的所有权限 都赋予teacher_math角色，将查找的权限 赋予sqluser_02用户。 v权限只能授予本数据库的用户，或者获准访 问本数据库的别的数据库的用户。如果将权 限授予了public角色，则所有数据库里的所 有用户都将默认获得了该项权限。 v在进行权限设置时，“”表示允许该权限， “”表示禁止该权限，“口”表示废除该权限。 2、使用企业管理器管理语句权限 实例8.16 在学生库中， 为teacher_math角色 赋予创建表和创建视图的权限，为 sqluser_02用户赋予创建存储过程的权限。 8.5.2 使用T-SQL语句管理权限 v1.使用T-SQL语句进行对象权限的管理 实例8.17 首先对数据库角色public授予在表学 生成绩中进行查询操作的权限，这样学生库 的所有数据库用户都具有了查询表学生成绩 的权限。然后，将对表学生成绩的增、删、 改权限授予数据库用户test和sqluser_02。于 是这两个用户就具有了对表学生成绩的所有 权限(查询、增、删、改)。 v命令格式： vGRANT | DENY | REVOKE v ALL|permissionn v 列 | ON 表 v |ON 存储过程名 v |ON 扩展存储过程名 v |ON 用户定义函数名 v TO 帐户|角色|用户|组 v命令说明： v (1)GRANT、DENY、REVOKE分别表示允许、禁止或废除 对象权限。 v(2)ALL表示允许、禁止或废除所有适用的权限。只有sysadmin 、db_owner成员及数据库拥有者有权使用ALL。 v (3)permission表示允许、禁止或废除的对象 权限。例如SELECT、INSERT等。 v如将上例中的test用户禁止获得查询，插入，删除，修改的 操作。 v可使用如下SQL语句来实现： vUSE 学生库 vGO vDENY SELECT, INSERT,UPDATE,DELETE vON 学生成绩 vTO test vGO v这样就禁止了test用户的的所有权限。 v注意：如果使用DENY命令拒绝某用户获得某项权限，即使 该用户后来又加入了具有该项权限的某工作组或角色，则该 用户将依然无法使用该项权限。例如test用户被拒绝（禁止 ）了SELECT, INSERT,UPDATE,DELETE权限，那么即使 将来test用户成为角色techer_math的成员，而该角色具有所 有的对象权限，那么test用户也无法使用这些权限。 v2.使用T-SQL语句进行语句权限的管理 v实例8.18 给数据库用户sqluser_02和赋予在数 据库学生库中创建表和创建视图的权限。 v命令格式： v GRANT|DENYIREVOKEALL|statement,.n TO 登 录账户、数据库用户或角色 v 命令说明： v (1)GRANT、DENY、REVOKE分别表示允许、拒绝和废 除语句权限的操作。 v (2)ALL表示针对所有语句权限的设置，只有sysadmin成员 有权使用ALL。 v (3)statement表示被允许、拒绝或废除语句权限的语句， 包括9个语句： CREATE vDATABASE、CREATE DEFAULT、CREATE FUNCTION 、CREATE PROCEDURE、CREATE RULE、CREATE TABLE、CREATEVIEW、BACKUP DATABASE、 BACKUP、LOG。 v行语句权限管理时应该注意如下几点： v (1)当在一个数据库中向Windows登录账户进行语 句权限的赋权时，如果数据库中尚未为该账户设置 数据库用户，则系统自动在数据库中为其建立一个 与登录账户同名的数据库用户。如果数据库中已经 为该账户建立了数据库用户，则授权时必须使用数 据库用户名。 v (2)当在一个数据库中向SQL登录账户进行语句权 限的赋权时，必须使用该数据库中与登录账户对应 的数据库用户名。 v (3)进行CREATE DATABASE的授权必须在 master数据库中进行。因此在master中必须有对应 的用户、角色名称。 v如对于上例，若废除sqluser_02用户的创建表和视图的权限 ，可用如下SQL语句实现： vUSE 学生库 vGO vRREVOKE CREATE TABLE，CREATE VIEW vFROM sqluser_02 vGO v这样就从用户sqluser_02中废除了创建表和视图的权限。 v注意：执行了上面的语句后，用户sqluser_02就被废除了创 建表和视图的权限。但是如果用户sqluser_02属于某个具有 创建表和创建视图的角色（如techer_math）的成员时,则该 用户仍具有创建表和视图的权限，因为它继承了角色 techer_math的权限，这是和拒绝（禁止）权限不同的地方 。 8.6本章总结 v本章详细介绍了SQL Server 2000的安全管理体系 ，一共有四道关卡，每一道关卡都有其自己的要求 。 v(1)一个数据库用户必须有权登录操作系统，即该用 户在Windows操作系统中具有登录账户。在这个前 提条件下，才有可能进入SQLServer2000系统。 v(2)一旦登录了操作系统，登录者还必须得到数据库 系统的通行证数据库服务器的登录账户，才具 有数据库服务器的连接权或登录权。 SQLServer2000只有在验证了指定的登录账户有效 后，才完成连接。这种对登录账户的验证称为身份 验证。对用户而言，登录SQL Server2000需要使 用以下两类身份验证之一。 vWindows身份验证：此种验证方式仅用于 Windows2000ServerNT操作系统。在这种方式下，用户 只要通过Windows 2000 ServerNT操作系统的登录验证， 就可以连接到SQL Server2000数据库实例。 vSQL Server身份验证：在此种验证方式下，即使用户已经登 录操作系统，也必须输入有效的SQL Server专用登录名与密 码方可连入SQLServer2000数据库实例。 v (3)当一个登录者登录数据库服务器后，并不等于对其中的 数据库具有访问权限，还必须由数据库所有者或管理员授权 ，使该登录者成为某一个数据库的用户。 v(4) 可以登录者进行权限和角色的分配，从而进行良好的管 理。 v（5）采用“登录”与“用户”分开的目的在于区分不同登录者对 数据库服务器中